hito
hitoh****@gmail*****
2008年 6月 10日 (火) 18:19:21 JST
On Mon, 9 Jun 2008 20:37:48 +0900, <from-****@I-lov*****> wrote: > 簡単そうなところでは /usr/lib/ccs/ ディレクトリが存在していて書き込み可能だったら > 既に /sbin/init が動作中と判断するというのではどうでしょう? > /sbin/init の実行時点では( fsck を走らせるために) / は読み込み専用モードで > マウントされている筈ですから。 うーん。何かスジに悪さを感じます。将来的にまた問題になりそうな気も。 # /usr/lib/ccsがROなシステムって想定できなくはないような。> Embeded方面で とりあえず、initがUpstartな環境に向けては/dev/initctl作戦でいいわけ ですから、Mambo方面向けにその修正を加えてしまう、というのもアリかなと 思います。 > ところで、 http://security.ubuntu.com/ubuntu/pool/main/l/linux/ を見ると > 既にカーネルが 2.6.24-19.33 になっているけれど、まだ > http://security.ubuntu.com/ubuntu/dists/hardy-security/main/source/ には > 反映されていませんね。まさか、 Ubuntu 8.04 用じゃない? まだproposed(候補)なだけで、リリースがかかってないだけだと 思います。たぶん。 で、話は戻りますが、 > 完全に入力待ちをしないように修正する方法もありますが、 > そのようにしてしまうと、 TOMOYO の機能を有効化する意図のあるユーザが > 何らかの原因によりポリシーディレクトリが削除されてしまった場合に > 無効モード(つまり無防備)のまま起動してしまう危険性があります。 こいつを、 ・"有効な" ポリシーディレクトリを読み込み、TOMOYO Enabledで 起動されたら、内容を{固めて, マーシャルして}どっかにバックアップ。 # /usr/lib/ccs.bak? ・もしポリシーディレクトリが削除されていたら、バックアップポリシーを ロード or ロードしようとしたファイルが壊れてたらプロンプト ・ポリシーディレクトリが空で、かつ前回のポリシーもなければ通常起動 てな動作にするのはどうでしょう。 無駄に複雑になる上、根本的な問題点は解決していませんが、事故の発生率は 減る気がします。 悪意ある攻撃者が/usr/lib/ccs以下を殲滅して再起動、という攻略シナリオは 防げませんが、それ言ったら /etc/sysconfig/selinux を編集されると終わる、 とかあるわけで、人災だけ防げればいいかなと。
TOMOYO
Fork